Что это в логе сервера?

0

1

Здравствуйте.

Обнаружил в логе самописного сервера (телеграмбот) следующие записи:

Sun Mar 25 21:50:48 2018
GET / HTTP/1.0

Sun Mar 25 21:50:49 2018
OPTIONS / HTTP/1.0

Sun Mar 25 21:50:49 2018
GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0

Sun Mar 25 21:50:50 2018
Ђћ

Sun Mar 25 21:50:50 2018
\#ST

Sun Mar 25 21:50:51 2018
OPTIONS / RTSP/1.0

Sun Mar 25 21:50:51 2018
Ђ

Sun Mar 25 21:50:52 2018
HELP

Sun Mar 25 21:50:53 2018
l

Sun Mar 25 21:50:53 2018
default

Sun Mar 25 21:50:53 2018
0„

Sun Mar 25 21:50:53 2018
0

Sun Mar 25 21:50:53 2018
OPTIONS sip:nm SIP/2.0
Via: SIP/2.0/TCP nm;branch=foo
From: <sip:nm@nm>;tag=root
To: <sip:nm2@nm2>
Call-ID: 50000
CSeq: 42 OPTIONS
Max-Forwards: 70
Content-Length: 0
Contact: <sip:nm@nm>
Accept: application/sdp

Sun Mar 25 21:50:54 2018
TNMP

Sun Mar 25 21:50:54 2018
DmdT

Sun Mar 25 21:50:54 2018
:

Sun Mar 25 21:50:55 2018
JRMI

Sun Mar 25 21:50:56 2018
GIOP

Это access-лог, то есть записи должны быть типа...

GET / HTTP/1.1
Host: 125.129.251.134
User-Agent: Firefox/59.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Upgrade-Insecure-Requests: 1

В файле /var/log/syslog нашлись вот такие строки:

Mar 25 21:50:49 debian kernel: [68103.603605] myserver[4171]: segfault at 1 ip b746a32b sp bfc136d0 error 4 in libc-2.19.so[b73ee000+1a7000]

Таких записей 16 штук с разницей в одну секунду, все одинаковые.

myserver - это мой сервер))).

Сервер работает следующим образом: принимает соединение (SSL_accept) и форкается, то есть read уже в форке, далее обрабатываются данные.

Я понимаю что это попытка ~~залезть мне в душу~~ взлома, но хотелось бы узнать подробнее, что это за вид атаки?

Видимо это как-то связано sip-телефонией (вычитал это в сети), но что это за слова - TNMP, DmdT, JRMI? Это что-то осмысленное, или обрывки чего-то? Там ещё присутствуют not a legal XML character (квадратики с шестнадцатеричным кодом).

Что означает ошибка 4?

Сталкиваюсь с подобным впервые, посему прошу отнестись снисходительно. Спасибо.

(линукс, сервер на си)

Ссылка

←	Firewalld - помогите с исходящим правилом

Публикую свои скрипты архивации PostgreSQL баз 1С

→

Сканят тебя, с целью поиметь что-то полезное.

А сегфолт вылечи, в нормально написанной программе он не должен возникать в принципе.

anonymous
(27.03.18 06:29:03 MSK)

Ответ на: комментарий от anonymous 27.03.18 06:29:03 MSK

А сегфолт вылечи

Спасибо.

Вопрос на понимание ситуации:

То есть сегфолт произошёл потому, что моя прога была не способна правильно отреагировать на действия злоумышленника?

А можно допустить, что злоумышленник сделал что-то такое, против чего прога не устояла бы в любом случае?

stD ★
(27.03.18 06:36:44 MSK) автор топика

Обычное сканирование на предмет известных уязвимостей.

Можешь ради интереса проксю повесить на незадействованный порт с полной блокировкой и ведением логов всех запросов. Рано или поздно такая фигня будет пачками сыпаться. Прокси публичные ищут, всякие SIP, дырявые пыховые движки.

Radjah ★★★★★
(27.03.18 07:59:53 MSK)

Ссылка

Ответ на: комментарий от stD 27.03.18 06:36:44 MSK

сегфолт произошёл потому, что моя прога была не способна правильно отреагировать на действия злоумышленника?

Да. Учтите, если программа падает при некоторых неправильных вводах, есть вероятность, что при других неправильных вводах она может исполнить подсунутый злоумышленником произвольный код (см. «эксплоит»). Но не имея исходников или хотя бы бинарника программы, сделать эксплоит сложно.

А можно допустить, что злоумышленник сделал что-то такое, против чего прога не устояла бы в любом случае?

В общем случае мы можем упереться в теорему Гёделя, но обычно бывает возможно написать программу так, чтобы она не вызывала undefined behaviour и не приводила к дырам в безопасности для всех вводов.

anonymous
(27.03.18 10:07:34 MSK)